Delegare le autorizzazioni di registrazione dell'app in Azure Active Directory

Questo articolo descrive come usare le autorizzazioni concesse dai ruoli personalizzati in Azure Active Directory (Azure AD) per soddisfare le esigenze di gestione delle applicazioni. In Azure AD è possibile delegare le autorizzazioni per la creazione e la gestione delle applicazioni tramite:

  • Limitare gli utenti che possono creare applicazioni e gestire le applicazioni create. Per impostazione predefinita in Azure AD, tutti gli utenti possono registrare le applicazioni e gestire tutti gli aspetti delle applicazioni creati. Questo comportamento può essere limitato in modo da consentire tale autorizzazione solo a persone selezionate.
  • Assegnazione di uno o più proprietari a un'applicazione. Questo è un semplice metodo per consentire a un utente di gestire tutti gli aspetti della configurazione di Azure AD per un'applicazione specifica.
  • Assegnazione di un ruolo amministrativo predefinito che concede l'accesso per gestire la configurazione in Azure AD per tutte le applicazioni. Questo è il metodo consigliato per concedere a esperti IT l'accesso in modo da gestire le autorizzazioni di configurazione delle applicazioni generali senza concedere l'accesso per la gestione di altre parti di Azure AD non correlate alla configurazione delle applicazioni.
  • Creazione di un ruolo personalizzato che definisce autorizzazioni molto specifiche e assegnarlo a un utente all'ambito di una singola applicazione come proprietario limitato o nell'ambito della directory (tutte le applicazioni) come amministratore limitato.

È importante valutare la possibilità di concedere l'accesso usando uno dei metodi descritti sopra per due motivi. In primo luogo, delegare la possibilità di eseguire attività amministrative riduce il sovraccarico dell'amministratore globale. In secondo luogo, l'uso di autorizzazioni limitate migliora la postura di sicurezza e riduce il rischio di accesso non autorizzato. Per linee guida sulla pianificazione della sicurezza dei ruoli, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD.

Limitare gli utenti che possono creare applicazioni

Per impostazione predefinita in Azure AD, tutti gli utenti possono registrare le applicazioni e gestire tutti gli aspetti delle applicazioni creati. Tutti hanno anche la possibilità di dare il consenso a che le app accedano ai dati aziendali per conto loro. È possibile scegliere di concedere in modo selettivo tali autorizzazioni impostando le opzioni globali su "No" e aggiungendo gli utenti selezionati al ruolo Sviluppatore di applicazioni.

  1. Accedere all'organizzazione Azure AD con un account idoneo per il ruolo di amministratore globale nell'organizzazione Azure AD.

  2. Impostare uno o entrambe le opzioni seguenti:

    • Nella pagina Impostazioni utente dell'organizzazione impostare l'impostazione Utenti per registrare le applicazioni su No. Questa impostazione disabilita la funzionalità predefinita che consente agli utenti di creare registrazioni di applicazioni.
    • Nelle impostazioni utente per le applicazioni aziendali impostare l'impostazione Utenti per consentire alle applicazioni di accedere ai dati aziendali per conto dell'utente su No. Questa impostazione disabilita la funzionalità predefinita che consente agli utenti di dare il consenso a che le app accedano ai dati per conto loro.

Assegnare il ruolo di sviluppatore di applicazioni per consentire la creazione di registrazioni di applicazioni quando l'opzione Gli utenti possono registrare applicazioni è impostata su No. Questo ruolo concede anche l'autorizzazione per dare il consenso all'accesso per proprio conto quando l'opzione Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto è impostata su No.

Assegnare proprietari dell'applicazione

L'assegnazione di proprietari è un semplice metodo per consentire la gestione di tutti gli aspetti della configurazione di Azure AD per la registrazione di un'applicazione o un'applicazione aziendale specifica. Per altre informazioni, vedere Assegnare proprietari di applicazioni aziendali.

Assegnare ruoli di amministratore applicazione predefiniti

Azure AD include un set di ruoli di amministratore predefiniti per concedere l'accesso per la gestione della configurazione in Azure AD per tutte le applicazioni. Questi ruoli sono il metodo consigliato per concedere a esperti IT l'accesso per la gestione di autorizzazioni di configurazione delle applicazioni generali senza concedere l'accesso per la gestione di altre parti di Azure AD non correlate alla configurazione delle applicazioni.

  • Amministratore di applicazioni: gli utenti in questo ruolo possono creare e gestire tutti gli aspetti di applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Questo ruolo concede inoltre la possibilità di fornire il consenso alle autorizzazioni delegate e le autorizzazioni dell'applicazione escluse le Graph Microsoft. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.
  • Amministratore applicazione cloud: gli utenti in questo ruolo dispongono delle stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

Per altre informazioni e per visualizzare la descrizione di questi ruoli, vedere ruoli predefiniti di Azure AD.

Seguire le istruzioni riportate in Assegnare ruoli agli utenti con Azure Active Directory guida pratica per assegnare i ruoli Amministratore applicazioni o Amministratore applicazioni cloud.

Importante

Gli amministratori delle applicazioni e gli amministratori di applicazioni cloud possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. È possibile che l'applicazione abbia autorizzazioni che costituiscono un'elevazione dei privilegi rispetto alle autorizzazioni del ruolo di amministratore. Un amministratore in questo ruolo potrebbe potenzialmente creare o aggiornare utenti o altri oggetti durante la rappresentazione dell'applicazione, a seconda delle autorizzazioni dell'applicazione. Nessuno dei ruoli consente di gestire le impostazioni di accesso condizionale.

Creare e assegnare un ruolo personalizzato (anteprima)

La creazione e l'assegnazione di ruoli personalizzati sono due passaggi separati:

Questa separazione consente di creare una singola definizione di ruolo e quindi assegnarla più volte a ambiti diversi. Un ruolo personalizzato può essere assegnato a livello di organizzazione oppure può essere assegnato all'ambito se un singolo oggetto Azure AD. Un esempio di ambito degli oggetti è la registrazione di una singola app. Usando ambiti diversi, la stessa definizione di ruolo può essere assegnata a Sally su tutte le registrazioni dell'app nell'organizzazione e quindi a Naveen solo sulla registrazione dell'app Contoso Expense Reports.

Suggerimenti per la creazione e l'uso di ruoli personalizzati per delegare la gestione delle applicazioni:

  • I ruoli personalizzati concedono l'accesso solo nei pannelli di registrazione delle app più aggiornati del portale di Azure. Non concedono l'accesso ai pannelli delle registrazioni di app legacy.
  • I ruoli personalizzati non concedono l'accesso al portale di Azure quando l'impostazione utente "Limita l'accesso al portale di amministrazione Azure AD" è impostata su Sì.
  • Registrazioni app l'utente ha accesso all'uso delle assegnazioni di ruolo viene visualizzato solo nella scheda "Tutte le applicazioni" nella pagina Registrazione app. Non vengono visualizzati nella scheda "Applicazioni di proprietà".

Per altre informazioni sulle nozioni di base dei ruoli personalizzati, vedere la panoramica dei ruoli personalizzati, nonché come creare un ruolo personalizzato e come assegnare un ruolo.

Passaggi successivi